Dịch vụ xin giấy phép kinh doanh sản phẩm, dịch vụ An toàn thông tin mạng
2024-03-19 07:17:50
1. Các văn bản quy định hoạt động kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng
Giấy phép kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng là một loại giấy phép kinh doanh có điều kiện áp dụng đối với các sản phẩm, dịch vụ thuộc nhóm có khả năng gây mất an toàn ở mức độ cao tương tự như giấy phép mật mã dân sự hoặc giấy phép nhập khẩu thiết bị bay không người lái drone.
- Văn bản pháp quy điều chỉnh hoạt động kinh doanh
- Luật An toàn thông tin mạng số 86/2015/QH13 do Quốc Hội ban hành ngày 19/11/2015, có hiệu lực từ ngày 01/07/2016
- Nghị định số 108/2016/NĐ-CP do Chính phủ ban hành ngày 01/07/2016, có hiệu lực kể từ ngày 01/07/2016
- Thông tư số 13/2018/TT-BTTTT do Bộ Thông tin và Truyền thông ban hành ngày 15/10/2018, có hiệu lực từ ngày 01/12/2018, quy định Danh mục sản phẩm an toàn thông tin mạng nhập khẩu theo giấy phép và trình tự, thủ tục, hồ sơ cấp Giấy phép nhập khẩu sản phẩm an toàn thông tin mạng
- Thông tư số 10/2022/TT-BTTTT của do Bộ Thông tin và Truyền thông, sửa đổi và bổ sung Thông tư số 13/2018/TT-BTTTT
- Văn bản hướng dẫn thực hiện có liên quan
- Công văn số 518/CATTT-CP của Cục An toàn thông tin – Bộ TT & TT gửi Tổng cục Hải quan về hướng dẫn quy định về Giấy phép nhập khẩu sản phẩm ATTTM
- Công văn số 3508/GSQL-GQ1 ngày 05/01/2018 của Cục GSQL về Hải quan – Tổng cục Hải quan gửi Cục Hải quan các tỉnh, thành phố về Giấy phép nhập khẩu sản phẩm ATTM
- Công văn số 1027/ 2019/ BTTTT-ATTT của Bộ TT & TT gửi Tổng cục Hải Quan đề nghị phối hợp triển khai thực hiện Thông tư số 13/2018/TT-BTTTT
2. Sản phẩm an toàn thông tin mạng là gì? Bao gồm những loại sản phẩm nào?
Theo Nghị Định số 108/2016/NĐ-CP thì các sản phẩm an toàn thông tin được chia thành 03 nhóm chính sau:
Phân nhóm sản phẩm an toàn thông tin mạng theo chức năng chính
- Sản phẩm kiểm tra, đánh giá an toàn thông tin mạng là các thiết bị phần cứng, phần mềm có các chức năng cơ bản sau: Rà quét, kiểm tra, phân tích cấu hình, hiện trạn, dữ liệu nhật ký của hệ thống thông tin; phát hiện lỗ hổng, điểm yếu; đưa ra đánh giá rủi ro an toàn thông tin.
- Sản phẩm giám sát an toàn thông tin mạng là các thiết bị phần cứng, phần mềm có các chức năng cơ bản sau: Giám sát, phân tích dữ liệu nhập ký theo thời gian thực; phát hiện và đưa ra sự kiện cảnh báo sự kiện bất thường, có nguy cơ gây mất an toàn thông tin
- Sản phẩm chống tấn công, xâm nhập là các thiết bị phần cứng, phần mềm có chức năng cơ bản ngăn chặn tấn công, xâm nhập vào hệ thống thông tin.
Các sản phẩm an toàn thông tin mạng thường gặp trên thực tế
- Các appliance (máy xử lý dữ liệu tự động) được thiết kế cho chức năng kiểm tra, đánh giá ATTTM. QRadar Incedent Forensic G3 Appliance của hãng IBM là một ví dụ cho sản phẩm kiểm tra, đánh giá ATTTM.
- Các appliance (máy xử lý dữ liệu tự động) được thiết kế cho chức năng giám sát ATTTM. Các sản phẩm QRadar Network Insight Appliance và QRadar Event Collector Appliance của hãng IBM là các ví dụ do loại sản phẩm này.
- Các appliance được thiết kế cho chức năng chống tấn công xâm nhập mà dòng sản phẩm NX series của hãng FireEye Inc. là một ví dụ điển hình.
- Các Appliances (thiết bị xử lý dữ liệu tự động) sử dụng trong lĩnh vực Ngân Hàng hoặc chuyên dung với mục đích an toàn thông tin. Việc phân loại được đánh giá theo chức năng chính của sản phẩm.
- Các thiết bị mạng LAN có chức năng chống tấn công xâm nhập là chức năng chính.
3. Dịch vụ an toàn thông tin mạng là gì? Bao gồm những loại dịch vụ nào?
Dịch vụ an toàn thông tin mạng được chia thành 7 nhóm dịch vụ như sau:
A, Dịch vụ giám sát an toàn thông tin mạng là dịch vụ giám sát, phân tích lưu lượng dữ liệu truyền trên hệ thống thông tin; thu thập, phân tích dữ liệu nhật ký theo thời gian thực; phát hiện và đưa ra cảnh báo sự kiện bất thường, có nguy cơ gây mất an toàn thông tin;
B, Dịch vụ phòng ngừa, chống tấn công mạng là dịch vụ ngăn chặn các hành vi tấn công, xâm nhập vào hệ thống thông tin thông qua việc giám sát, thu thập, phân tích các sự kiện đang xảy ra trên hệ thống thông tin;
C, Dịch vụ tư vấn an toàn thông tin mạng là dịch vụ hỗ trợ tư vấn, kiểm tra, đánh giá, triển khai, thiết kế, xây dựng các giải pháp bảo đảm an toàn thông tin;
D, Dịch vụ ứng cứu sự cố an toàn thông tin mạng là dịch vụ xử lý, khắc phục kịp thời sự cố gây mất an toàn thông tin đối với hệ thống thông tin;
E, Dịch vụ khôi phục dữ liệu là dịch vụ khôi phục dữ liệu trong hệ thống thông tin đã bị xóa hoặc hư hỏng;
F, Dịch vụ kiểm tra, đánh giá an toàn thông tin mạng là dịch vụ rà quét, kiểm tra, phân tích cấu hình, hiện trạng, dữ liệu nhập ký của hệ thống thông tin; phát hiện lỗ hổng, điểm yếu; đưa ra đánh giá rủi ro mất an toàn thông tin;
G, Dịch vụ kiểm tra, đánh giá an toàn thông tin mạng là dịch vụ rà quét, kiểm tra, phân tích cấu hình, hiện trạng, dữ liệu nhật ký của hệ thống thông tin; phát hiện lỗ hổng, điểm yếu; đưa ra đánh giá rủi ro mất an toàn thông tin;
H, Dịch vụ bảo mật thông tin không sử dụng mật mã dân sự là dịch vụ hỗ trợ người sử dụng bảo đảm tính bí mật của thông tin, hệ thống thông tin mà không sử dụng hệ thống mật mã dân sự.
4. Các lưu ý quan trọng trong việc xin giấy phép an toàn thông tin mạng
- Sản phẩm ATTTM bao gồm cả loại sản phẩm phần cứng và loại sản phẩm là phần mềm. Thông thường phần mềm do có thể được kinh doanh theo cách tải từ điện toán đám mây cloud nên nhiều doanh nghiệp sơ xót, không biết loại sản phẩm này thuộc phạm vi điều chỉnh của giấy phép.
- Nếu một thiết bị có cả tính năng mật mã dân sự và tính năng ATTM thì doanh nghiệp chỉ phải xin một loại giấy phép kinh doanh, giấy phép nhập khẩu cho thiết bị mật mã dân sự. Hai loại giấy phép này không áp dụng đồng thời đối với cùng một sản phẩm. Căn cứ pháp lý như sau:
- Căn cứ theo Điểm c, Khoản 6, Điều 38 của Luật An toàn thông tin mạng số 86/2015/QH13 thì sản phẩm mật mã dân sự không thuộc phạm vi trách nhiệm của Bộ Thông tin và Truyền thông
- Căn cứ theo Khoản 1, Điều 42 của Luật An toàn thông tin mạng số 86/2015/QH13 thì sản phẩm mật mã dân sự không nằm trong phạm cấp giấy phép kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng
Trên thực tế đã có nhiều trường hợp doanh nghiệp được yêu cầu cung cấp cả giấy phép nhập khẩu sản phẩm mật mã dân sự và giấy phép nhập khẩu an toàn thông tin mạng đối với cùng một sản phẩm, theo quan điểm của TGIMEX thì đây là một sự nhầm lẫn. Các sản phẩm đã được xác định là sản phẩm mật mã dân sự, đã được cấp giấy phép mật mã dân sự thì không thuộc diện phải xin giấy phép an toàn thông tin mạng.
- Thiết bị tường lửa có chức năng mô tả là sản phẩm chống tấn công xâm nhập, điều này hoàn toàn đúng song thông thường thiết bị tường lửa cũng có chức năng mã hóa mật mã dân sự bảo mật luồng kênh và bảo mật luồng IP. Gần đây Ban Cơ Yếu Chính phủ cũng đang soạn thảo Quy chuẩn kỹ thuật quốc gia đối với sản phẩm bảo mật luồng kênh (QCVN cho sản phẩm mật mã dân sự). Khi đó, loại giấy phép cần thiết để nhập khẩu thiết bị tường lửa là loại giấy phép gì? Chúng tôi phân loại thiết bị tường lửa thành 2 nhóm:
- Thiết bị tường lửa (firewall) có tính năng mật mã dân sự điển hình như bảo mật luồng IP, bảo mật kênh, có mã HS 85176229 thuộc nhóm sản phẩm phải xin giáy phép mật mã dân sự
- Thiết bị tường lửa lớp mạng (network-base firewall), không có đặc tính kỹ thuật mật mã dân sự điển hình như bảo mật luồng IP, bảo mật kênh, hoặc không có tính năng mật mã dân sự khác, đồng thời có mã HS 84713090, 84714990, 85176243, 85176249 sẽ thuộc nhóm sản phẩm phải xin giấy phép an toàn thông tin mạng.
- Dịch vụ an toàn thông tin mạng trong phạm cấp phép của Bộ Thông tin và Truyền thông không bao gồm 03 loại dịch vụ mật mã dân sự do Ban Cơ yếu Chính phủ quản lý.
- Sản phẩm, dịch vụ ATTTM là các sản phẩm, dịch vụ có liên quan đến an ninh quốc gia, chỉ các doanh nghiệp đủ điều kiện mới được cấp phép và Bộ Thông tin Truyền thông, Cục An toàn thông tin có quy hoạch cho việc cấp phép theo từng thời kỳ. Tính đến thời điểm hiện tại mới chỉ có một số lượng nhỏ các doanh nghiệp được cấp giấy phép an toàn thông tin mạng.
5. Điều kiện để được cấp giấy phép kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng
Điều kiện đối với doanh nghiệp để được cấp phép an toàn thông tin mạng cụ thể như sau:
Yêu cầu đối với nhân sự (cán bộ quản lý và cán bộ kỹ thuật)
- Có tối thiểu 02 kỹ sư tốt nghiệp một trong các ngành sau: điện tử - viễn thông, công nghệ thông tin, toán học, an toàn thông tin.
- Cán bộ quản lý điều hành tốt nghiệp một trong các ngành sau: điển tử-viễn thông, công nghệ thông tin, toán học, an toàn thông tin, hoặc có chứng chỉ đào tạo về an toàn thông tin.
Yêu cầu về con người, chứng chỉ đào tạo đối với doanh nghiệp kinh doanh sản phẩm an toàn thông tin là thấp hơn yêu cầu đối với doanh nghiệp kinh doanh dịch vụ an toàn thông tin.
Yêu cầu về cơ sở vật chất và các phương án kinh doanh, kỹ thuật, bảo mật
- Có cơ sở vật chất, trang thiết bị phù hợp với quy mô kinh doanh (doanh nghiệp cần liệt kê chi tiết về cơ sở vật chất phục vụ kinh doanh).
- Có phương án kỹ thuật phù hợp với tiêu chuẩn, quy chuẩn kỹ thuật áp dụng đối với sản phẩm, dịch vụ an toàn thông tin.
- Có phương án kinh doanh sản phẩm, dịch vụ an toàn thông tin phù hợp.
Các yêu cầu đặc biệt khác phù thuộc vào quy hoạch hoặc dịch vụ cần xin phép
- Phù hợp với quy hoạch của Bộ Thông tin và Truyền thông theo từng thời kỳ. Hiện tại đã có tương đối nhiều doanh nghiệp được cấp giấy phép kinh doanh sản phẩm ATTTM nên việc cấp phép cho các doanh nghiệp mới được xiết chặt, việc cấp phép cho cá doanh nghiệp không chuyên về sản phẩm, dịch vụ ATTTM hoặc có quy mô nhỏ được hạn chế.
- Doanh nghiệp có yếu tố nước ngoài (có vốn đầu tư nước ngoài hoặc có người đại diện theo pháp luật, đội ngũ kỹ thuật, quản lý điều hành là công dân nước ngoài) sẽ có hạn chế khi xin giấy phép đối với một số hạng mục dịch vụ an toàn thông tin mạng quan trọng.
- Trong trường hợp doanh nghiệp xin giấy phép kinh doanh đối với dịch vụ ATTM thì người đại diện theo pháp luật và đội ngũ quản lý phải có phiếu lý lịch tư pháp trong sạch.
6. Bộ hồ sơ xin Giấy phép kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng
- Đơn đề nghị cấp giấy phép theo mẫu
- Bản sao giấy Chứng nhận đăng ký doanh nghiệp hoặc giấy chứng nhận pháp nhân có giá trị tương đương
- Bản sao văn bằng chứng chỉ liên quan đến bảo mật, ATTTM của đội ngũ kỹ thuật và cán bộ quản lý.
- Bản thuyết minh về trang thiết bị và cơ sở vật chất, kỹ thuật phục vụ kinh doanh.
- Phương án kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng
- Phương án kỹ thuật phù hợp với tiêu chuẩn, quy chuẩn kỹ thuật áp dụng cho sản phẩm ATTTM (áp dụng đối với kinh doanh dịch vụ).
- Phương án bảo mật thông tin khách hàng trong quá trình cung cấp sản phẩm, dịch vụ an toàn thông tin mạng (áp dụng đối với kinh doanh dịch vụ).
- Phiếu lý lịch tư pháp của người đại diện theo pháp luật và đội ngũ quản lý điều hành có liên quan (áp dụng đối với kinh doanh dịch vụ).
Bộ hồ sơ liệt kê trên cần được chuẩn bị thành 5 bộ, bao gồm một bộ gốc và 04 bộ bản sao. Các văn bằng tốt nghiệp đại học cần phải chuẩn bị bản sao công chứng hoặc chứng thực, các chứng chỉ khác có thể sử dụng bản sao do doanh nghiệp xác thực (đóng dấu sao y hoặc dấu treo).
- Hiện tại Bộ Thông tin và Truyền thông chưa áp dụng chứng nhận hợp quy theo quy chuẩn áp dụng đối với tính năng an toàn thông tin mạng nhưng việc chứng nhận hợp quy này đã được lên kế hoạch triểu khai và có thể sớm được áp dụng vào nửa đầu 2021. Khi triển khai chứng nhận hợp quy theo quy chuẩn áp dụng đối với tính năng an toàn thông tin mạng thì doanh nghiệp còn phải chuẩn bị thêm giấy chứng nhận hợp quy để bổ sung vào hồ sơ.
7. Cơ quan thụ lý hồ sơ xin Giấy phép kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng
Sau khi chuẩn bị đầy đủ bộ hồ sơ, doanh nghiệp nộp hồ sơ tại Cục An toàn Thông tin – Bộ Thông tin và Truyền thông (AIS). Quy trình thẩm định điều kiện và đánh giá hồ sơ thông thường sẽ từ 1 – 2 tháng tùy theo việc chuẩn bị các hồ sơ xin cấp phép đã đầy đủ và chi tiết hay chưa.
Hồ sơ xin cấp giấy phép kinh doanh sản phẩm, dịch vụ ATTTM sẽ do Cục An toàn Thông tin xử lý và Thẩm định, sau đó đệ trình lên Bộ Thông tin và Truyền thông duyệt. Giấy phép kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng trực tiếp do Bộ Thông tin và Truyền thông ký ban hành.
Giấy phép kinh doanh sản phẩm, dịch vụ ATTTM có thời hạn hiệu lực 10 năm, phí cấp phép sẽ phụ thuộc vào số loại sản phẩm, dịch vụ xin cấp phép. Trong quá trình kinh doanh, nếu doanh nghiệp có nhu cầu mở rộng loại hình sản phẩm, dịch vụ hoặc thay đổi liên quan đến giấy phép, doanh nghiệp làm bộ hồ sơ bổ sung, sửa đổi giấy phép kinh doanh theo quy định tại Luật An toàn Thông tin mạng số 86/2015/QH13 và Nghị Định số 108/2016/NĐ-CP.
Khác với giấy phép cho sản phẩm mật mã dân sự, giấy phép kinh doanh sản phẩm ATTTM được cấp cho các nhóm sản phẩm, không liệt kê sản phẩm cụ thể. Doanh nghiệp có thể sử dụng giấy phép kinh doanh để xin giấy phép nhập khẩu cho nhiều sản phẩm khác nhau trong cùng nhóm sản phẩm đã được cấp phép kinh doanh.
8. Điều kiện và thủ tục xin giấy phép nhập khẩu (xuất khẩu) sản phẩm an toàn thông tin mạng
Đối với các sản phẩm ATTTM được liệt kê chi tiết tại Phụ lục 1 của Thông tư số 10/2022/TT-BTTTTT, doanh nghiệp phải có giấy phép nhập khẩu mới đủ điều kiện để được thông quan. Sau khi đã có được Giấy phép kinh doanh sản phẩm ATTTM, doanh nghiệp chuẩn bị bộ hồ sơ xin Giấy phép nhập khẩu sản phẩm ATTTM cho các sản phẩm này bao gồm:
- Đơn đề nghị cấp giấy phép nhập khẩu theo mẫu quy định tại Thông tư số 10/2022/TT-BTTTTT
- Bản sao Giấy phép kinh doanh sản phẩm (và dịch vụ) an toàn thông tin mạng
- Bản sao giấy chứng nhận hợp quy cấp cho thiết bị ATTTM theo quy chuẩn kỹ thuật về an toàn thông tin của Bộ Thông tin và Truyền thông sẽ sớm ban hành để áp dụng vào cuối năm 2020 hoặc năm 2021).
- Bản sao hợp đồng mua hàng (nhập khẩu) để làm căn cứ cho số lượng xin phép. Trong trường hợp doanh nghiệp chưa có hợp đồng nhập khẩu cụ thể thì chỉ được cấp phép nhập khẩu 1-2 sản phẩm đối với mỗi model để làm demo, giới thiệu sản phẩm.
- Giấy phép nhập khẩu sản phẩm ATTTM được cấp cho một danh sách sản phẩm cụ thể với thời hạn hiệu lực 02 năm hoặc không vượt quá thời hạn hiệu lực còn lại của Giấy phép kinh doanh. Sau khi giấy phép nhập khẩu hết hiệu lực, doanh nghiệp nhập khẩu phải xin cấp phép lại với điều kiện là giấy phép kinh doanh vẫn còn hiệu lực.
9. Thời gian thẩm định cấp giấy phép kinh doanh sản phẩm an toàn thông tin mạng là bao lâu?
Căn cứ theo Điều 44, Điều 45 của Luật An toàn Thông tin mạng số 86/2015/QH13, thời hạn thẩm định và xử lý hồ sơ xin cấp giấy phép an toàn thông tin mạng như sau:
Thời hạn thụ lý hồ sơ cấp giấy phép kinh doanh an toàn thông tin mạng
- Thời hạn thẩm định và thụ lý hồ sơ cấp giấy phép kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng (cấp mới lần đầu) theo quy định tại Điều 44 là 40 ngày làm việc tính từ ngày hồ sơ được AIS tiếp nhận chính thức, ngoại trừ một số sản phẩm, dịch vụ đặc biệt quy định tại Điều 41 của Luật An toàn thông tin mạng.
- Thời hạn thẩm định và thụ lý hồ sơ sửa đổi, bổ sung (bổ sung thêm sản phẩm hoặc dịch vụ) giấy phép an toàn thông tin mạng theo quy định tại Điều 45 là 10 ngày làm việc tính từ ngày hồ sơ được AIS tiếp nhận chính thức.
- Thời hạn thẩm định và thụ lý hồ sơ cấp lại, gia hạn giấy phép kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng theo quy định tại Điều 45 là 20 ngày làm việc tính từ ngày hồ sơ được AIS cấp mã tiếp nhận chính thức.
- Trên thực tế, do Bộ TT&TT có quy hoạch việc cấp phép theo từng thời kỳ, giai đoạn năm 2020 tới nay có rất ít doanh nghiệp được cấp mới giấy phép kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng
Thời hạn thụ lý hồ sơ cấp giấy phép nhập khẩu sản phẩm an toàn thông tin mạng
- Căn cứ theo Điều 10 của Thông tư 13/2018/TT-BTTTT (được sửa đổi và bổ sung bởi Thông tư 10/2022/TT-BTTTT), thời gian thụ lý và cấp giấy phép nhập khẩu sản phẩm an toàn thông tin mạng là 02 ngày làm việc (tính từ ngày hồ sơ được thụ lý chính thức)
10. TGIMEX có thể giúp gì cho bạn trong việc xin giấy phép?
Với nhiều năm kinh nghiệm trong việc thực hiện xin giấy phép kinh doanh và giấy phép xuất nhập khẩu sản phẩm an toàn thông tin mạng và giấy phép mật mã dân sự cho nhiều doanh nghiệp chúng tôi có thể hỗ trợ bạn:
- Đánh giá đặc tính kỹ thuật của sản phẩm, xác định giúp doanh nghiệp các sản phẩm thuộc diện phải xin giấy phép an toàn thông tin mạng hay giấy phép mật mã dân sự. Đối với các sản phẩm không thuộc diện phải xin giấy phép, TGIMEX tư vấn hỗ trợ doanh nghiệp xin văn bản xác nhận sản phẩm không phải xin giấy phép an toàn thông tin mạng để đảm bảo thông quan thuận lợi, nhanh chóng.
- Đánh giá sơ bộ điều kiện hiện tại của doanh nghiệp so sánh với điều kiện để được cấp phép, tư vấn và hướng dẫn doanh nghiệp các biện pháp khắc phục trong trường hợp doanh nghiệp chưa đáp ứng đủ điều kiện
- Tiếp nhận thông tin từ doanh nghiệp, tư vấn và hỗ trợ doanh nghiệp chuẩn bị các hồ sơ bao gồm phương án kỹ thuật, phương án kinh doanh, phương án bảo mật và các tài liệu khác trong thời gian nhanh nhất đúng theo yêu cầu của cơ quan chức năng
- Đại diện cho doanh nghiệp trong việc thực hiện các thủ tục đo kiểm thử nghiệm, chứng nhận hợp quy sản phẩm an toàn thông tin mạng (sau này sẽ bắt buộc áp dụng).
- Tư vấn và hỗ trợ các thủ tục pháp lý khác liên quan đến sản phẩm nhập khẩu như việc đăng ký kiểm tra chất lượng nhà nước, xin giấy chứng nhận hợp quy của Bộ Thông tin và Truyền thông
- Trong trường hợp doanh nghiệp cần nhập khẩu sản phẩm gấp, hoặc nhận hàng không thanh toán từ công ty mẹ hoặc đối tác nước ngoài, TGIMEX có đủ khả năng và điều kiện cung cấp dịch vụ nhập khẩu ủy thác.